广东深圳广州东莞带CNAS标志的ISO27001信息安全管理体系认证辅导

广东深圳广州东莞带CNAS标志的ISO27001信息安全管理体系认证辅导4 信息安全管理体系（ISMS）

4.1 总要求
一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进
文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。
4.2 建立和管理 ISMS
4.2.1 建立 ISMS
组织应：
a) 根据业务特点、组织结构、位置、资产和技术，确定 ISMS 的范围和边界，包括对例外于此范
围的对象作出详情和合理性的说明（见 1.2）。
b) 根据业务特点、组织结构、位置、资产和技术，确定 ISMS 方针，应：
1) 为其目标建立一个框架并为信息安全行动建立整体的方向和原则；
2) 考虑业务和法律法规的要求，及合同中的安全义务；
3) 在组织的战略性风险管理环境下，建立和保持 ISMS；
4) 建立风险评价的准则[见 4.2.1 c]]；
5) 获得管理者批准。
注：就本标准的目的而言，ISMS 方针被认为是信息安全方针的一个扩展集。这些方针可以在
一个文件中进行描述。
c) 确定组织的风险评估方法
1）识别适合 ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。
2）制定接受风险的准则，识别可接受的风险级别（见 5.1f）。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
注：风险评估具有不同的方法。在 ISO/IEC TR 13335-3《信息技术 IT 安全管理指南：IT 安全
管理技术》中描述了风险评估方法的例子。
d) 识别风险
1) 识别 ISMS 范围内的资产及其责任人 2 ；
2) 识别资产所面临的威胁；
3) 识别可能被威胁利用的脆弱点；
4) 识别丧失保密性、完整性和可用性可能对资产造成的影响。
e) 分析和评价风险
1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失误可能造
成的对组织的影响。
2) 评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控
制措施。
3) 估计风险的级别。
4) 确定风险是否可接受，或者是否需要使用在 4.2.1 c)2)中所建立的接受风险的准则进行处
2 术语“责任人”标识了已经获得管理者的批准，负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语

“责任人”不是指该人员实际上对资产拥有所有权。

带CNAS标志的ISO27001信息安全管理体系认证

广东深圳广州东莞带CNAS标志的ISO27001信息安全管理体系认证辅导

公司主要从事ISO认证咨询服务、IT行业资质办理服务。经营业务有：ISO27001信息安全管理体系、ISO20000信息技术服务管理体系、ISO9001质量管理体系、ISO14001环境管理体系 、ISO45001职业健康管理体系、GB/T 29490 知识产权管理规范、DCMM数据管理能力成熟度评估模型、CSMM软件能力成熟度模型、CMMI软件能力成熟度集成模型、ITSS信息技术服务标准、CS信息系统集成、CCRC信息安服务资质、等保、ISO 10012测量管理体系、**产品（OGA）、 ISO22000食品安全管理体系、 HCCP危害分析与关键控制点、ISO50001能源管理体系、ISO 28000供应链安全管理体系、ISO 37301合规管理体系、ISO 37001 反贿赂管理体系、ISO 13485 医疗器械管理体系、GB/T 33497 餐饮企业质量管理体系、SA8000社会责任体系认证、GB/T 30146 业务连续性管理体系、富硒产品认证技术规范、GB/T 31950诚信管理体系 、GB/T 23794 企业信用评价指标（AAA) 、SA8000 社会责任管理体系、ISO /IEC 27701 隐私信息管理体系认证、GB/T 27925商业企业品牌评价规则（五星级）、SB/T 10962 商品经营企业服务质量评价体系、GB/T 27922商品售后服务评价认证（五星级）等。